Ubuntuサービスの脆弱性を見つける方法は？

私はubuntuサーバーを実行しています。今日、Amazonの不正使用レポートを通じて、サーバーがハッキングされ、DDoSに使用されていることがわかりました。

サーバー上で次のものを見つけました。

サーバー上にある次の疑わしいファイル。

-rw-r--r-- 1 www-data www-data      759 Dec 21 15:38 weiwei.pl
-rwxrwxrwx 1 www-data www-data  1223123 Dec 26 02:20 huizhen
-rwxr-xr-x 1 www-data www-data        5 Jan 26 14:21 gates.lod
-rwxrwxrwx 1 www-data www-data  1135000 Jan 27 14:09 sishen
-rw-r--r-- 1 www-data www-data      759 Jan 27 14:36 weiwei.pl.5
-rw-r--r-- 1 www-data www-data      759 Jan 27 14:36 weiwei.pl.4
-rw-r--r-- 1 www-data www-data      759 Jan 27 14:36 weiwei.pl.3
-rw-r--r-- 1 www-data www-data      759 Jan 27 14:36 weiwei.pl.2
-rw-r--r-- 1 www-data www-data      759 Jan 27 14:36 weiwei.pl.1
-rwxr-xr-x 1 www-data www-data        5 Jan 28 14:00 vga.conf
-rw-r--r-- 1 www-data www-data      119 Jan 29 06:22 cmd.n
-rw-r--r-- 1 www-data www-data       73 Feb  1 01:01 conf.n

次のプロセスが実行されていました

www-data  8292 10629  0 Jan28 ?        00:00:00 Perl /tmp/weiwei.pl 222.186.42.207 5222
www-data  8293  8292  0 Jan28 ?        00:00:00 /bin/bash -i
www-data  8293  8292  0 Jan28 ?        00:00:00 ./huizhen

clamavを実行すると、/tmp/huizhenファイルと/tmp/sishenファイルが削除されましたが、プロセスはまだweiwei.plと./huizhenを実行していたため、手動で強制終了しました。

サーバー上で次のサービスを実行しています。

• SSH-デフォルトのポート22を使用せず、キー認証のみ
• MongoDB-ポートは特定のセキュリティグループに対して開かれています
• Memcache-ポートは特定のセキュリティグループに対して開かれています
• NodeJS-ポートは特定のセキュリティグループに対して開かれています
• Tomcat-8080/8443ポートはaxis2Webサービスとsolrで公開されています

私の想定では、プロセスはTomcatと同じユーザーグループを使用して実行されているため、ハッカーはTomcat/axis2/solrの脆弱性を乗り越えました。

今のところ8080/8443ポートをブロックしており、サーバーを新しいものと交換します。 Tomcatは、nginxを介して別のサーバーからアクセスできます。 nattended-upgrades を使用してセキュリティパッチもインストールしました。

問題は、ハッカーがどのように侵入してトロイの木馬を植えたかを見つける方法です。セキュリティを強化するために他にどのような手順を実行できますか。